「95%の企業がマルウェアのターゲットになり、100%の企業でマルウェアアクセス実績がある時代のセキュリティ対策とは」(吉政忠志のワークスタイルの変革コラム)

Cisco Annual Securityレポート2014によると、「95%の大企業は、マルウェアのターゲットになっています。 すべての組織において、マルウェアサイトへのアクセスがあります。」と書かれています。

そして、そのレポートには1時間で数万ものマルウェアが発生し、企業に攻撃をしてくると書かれています。

この調査データをご覧になられて驚かれた方もいると思いますが、事実としていえるのは、大半の企業がターゲットになり、その結果、マルウェアサイトへのアクセスが100%の組織で発生しているということです。

そして、そのマルウェアの攻撃は1回ではなく、日々というか毎時間のようにされていると思います。その状況で、果たして防御だけの対策で十分でしょうか。
感染を前提とした、被害を最低限に抑える対策までしないと十分といえないでしょう。

一方で、NPO法人日本ネットワークセキュリティ協会の「2015年情報セキュリティインシデントに関する調査報告書」2によると一件あたり平均想定損害賠償額3億3705万円で一人あたり平均想定損害賠償額は2万8020円だそうです。賠償をする金額は大きく、企業の信頼以外にも受けるダメージは金銭的にも大きいです。

ここで注目いただきたいのは、この時の損害賠償金額の大きさは主にどのような基準で決められるかご存知でしょうか?

様々な判例を見ると、「企業としての責任」が問われています。
完璧な対応をしている企業は、企業責任は少なく、損害賠償も減額される傾向があるようです。一方で対応に不備がある企業は情報管理を全うしていないということで、賠償金額も増加する傾向があります。 賠償金額は漏えいした情報など様々な要件によって増減します。しかし、これだけ世の中でマルウェアなどのウイルスの件で騒がれているのに、対応を怠っている場合は、企業の責任は重いと思います。

では、どの程度まで対策をすればよいのでしょうか。日本の企業の対策状況は以下の通りです。

27年度総務省「通信利用動向調査」より

上記のグラフを見ると、ウイルス対策プログラムをクライアントやサーバに入れておくだけの企業が大半のようですね。しかしながら、ウイルスプログラム1本入れただけではかなり不安ですよね。実際に、著名なアンチウイルスを導入している企業がセカンドオピニオンとしてもう1本アンチウイルスを導入してスキャンしたところ、今まで発見することができていなかったウイルスが見つかった話はよくあります。 ここから言えるのはアンチウイルスだけでは不十分であるが、それでも、アンチウイルスの対応しかしていない企業が大半であるということです。

企業としては、できるだけウイルスの流入を防ぎつつ、感染後の対応もガイドラインを踏まえて対応することが求められていると思いますし、そこまで対応することで、企業としてのシステム面での責任を果たしていると思います。
興味がある方は、以下のページで、Cisco AMP for Endpointを紹介していますので、ご覧ください。このページでは各種市場データやマルウェアの検知・隔離・感染範囲、原因特定の方法が分かりやすく概念図で説明されています。是非今後の参考にしてください。

Cisco AMP for Endpoint
https://www.si-jirei.jp/cisco/security_solution/amp-for-endpoints/

関連記事

更新情報

最新コラム

  1. はじめに「業務改善へのミチノリ」コラムを書かせていただいています、橋川 吾教(みちのり)です。…
  2. こんにちは。吉政創成の吉政でございます。第四回は「Cisco Merakiで地方観光を活性化しません…
  3. 1.はじめにみなさん、こんにちは。WordPress使ってますか? KUSANAGI、使ってます…

ログインステータス

ログインしていません。

最新事例

  1. 某ホテル Wi-Fiを活用した顧客サービスの強化事例を公開しました。興味がある方はログインの上、ダウ…
  2. 今回は日本のネットワーク市場、とりわけ流通小売企業を中心とした多店舗展開をされている企業から注目をう…
  3. NEC PBXとCiscoコミュニケーションツールの連携事例【某製造業事例】を公開しました。…
ページ上部へ戻る